En me renseignant sur les obligations RGPD, la CNIL et les sanctions appliquées, je me suis dit que je pourrais faire partager ça à la communauté. Voici une synthèse :
Observations :
Depuis avril 2022, pour faire face à l’envolée des plaintes (12 193 en 2022), réforme des procédures de la CNIL pour une action plus répressive : mise en place des « procédures de sanctions simplifiées ».
Cette procédure a été créée pour accélérer le traitement des dossiers peu complexes ou de faible gravité.
Elle représente 62 % des sanctions pour 345 contrôles effectués par la CNIL en 2022.
Utilisation de la procédure simplifiée
2022 : 4 cas (19% des sanctions totales)
2023 : 13 cas (62 % des sanctions totales)
Cette tendance confirme que la CNIL optimise ses ressources pour traiter un volume croissant de dossiers.
Montant des sanctions :
Procédure « ordinaire » : jusqu’à 20 millions d’€ ou jusqu’à 4 % du chiffre d’affaires annuel
Procédure « simplifiée » : 100 € d’astreinte max par jour de retard après l’injonction de se remettre en conformité + une amende administrative d’un montant maximum de 20 000 €.
Pour complèter le post : peu de monde le sait, mais, lors d’un dépôt d’une plainte, l’article 10 du Décret n° 2019-536 du 29 mai 2019 indique que « Le silence gardé pendant 3 mois par la commission [la CNIL] sur une réclamation vaut décision de rejet ».
Excellent post, c’est toujours bon de savoir ce qui se fait en terme de répression et à quelle échelle…
Perso je bosse dans une boite de mise en conformité RGPD des entreprises et les gens n’ont pas encore conscience de l’importance d’être conformes.
Outre les amendes, la CNIL oblige à publier la non conformité pour les clients, ce qui peut littéralement tuer une entreprise… On essaye d’éduquer le plus possible mais c’est très compliqué quand la CNIL ne poste que les amendes des gros groupes (alors que les petits sont tout aussi target)…
En tout cas si vous voulez être en conformité et éviter de vous faire attraper, venez en mp
Salut Popek,
As-tu une liste de quick-wins pour la mise en conformité ?
Et as-tu quelques logiciels (saas ou autre) à éviter d’utiliser pour rester en conformité ?
Ce serait vraiment trop cool d’avoir un rapide debrief d’un pro du secteur.
A+
Oui il y a certains éléments incontournables pour être en conformité RGPD cependant une grande partie nécessite l’intervention d’un pro du domaine car ce sont pour la plus part des documents juridiques complexes (d’où l’intérêt d’un dpo externalisé que je propose). Voici une liste des premiers éléments que j’ai en tête :
Nominer un DPO à la CNIL
Registre des activités de traitement
Politique d’information du site internet et/ou de la plateforme
Data processing agreement (DPA)
Analyse d’impact relatives à la protection des données (AIPD)
Politique de gestion des demandes de droit
Mentions d’informations
Charte des systèmes d’information
Code de conduite
L’encadrement des transferts des données
Bandeau cookie
Il faut savoir que les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Pour ce qui est des outils c’est assez simple. Tous les outils qui ne respectent pas le RGPD (donc accessoirement tous les outils qui ont été développés par nos chers membres ici mais aussi des lusha, des kaspr, des waalaxy etc) sont non conformes et font sauter ta certification.
C’est pour ça que je me tue à expliquer qu’il faut absolument mettre en conformité vos outils les gars. Autant les startups ou les indépendants ne font pas attention (quoi que ça commence car la CNIL commence à les taper) autant les grands groupes ou les sociétés bien structurées étant attachées à leurs conformités n’utiliseront pas vos outils pour cette raison.
Sachez qu’une plainte anonyme suffit à la CNIL à vous contrôler, et sachez aussi que c’est trèèèès simple sur votre site en 2 minutes top chrono de savoir si vous êtes en conformité ou pas.
Donc à vous de choisir.
Et oui, autre chose, en cas de controle et de confirmation de votre non conformité, vous êtes obligés de mentionner à vos clients que vous ne respectez pas le RGPD et donc leurs données (et là bonjour la catastrophe).
On a une offre petite société avec un paiement annuel (2 mois offerts) ou mensuel à des prix largement supportables, on est aussi les moins cher du marché donc honnêtement, si vous tenez à vos clients ou à vos outils de manière plus globale, sautez le cap.
C’est la course pour les outils de marketing, il y en a très peu de certifiés donc les premiers seront les plus utilisés.
Je suis dispo en MP si vous voulez qu’on prévoit un call pour vous présenter l’offre de DPO externalisé.
Complètement d’accord avec @Popek sur le choix des outils qui peuvent en un claquement de doigts faire sauter tous les efforts RGPD d’une entreprise.
C’est souvent le cas dans l’aquisition client et l’enrichissement…
La question à se poser (comme le dit bien Denis C. sur son dernier post LinkedIn) « D’où viennent les données que je (ou ma team) achète pour enrichir mes leads ? »
« Le RGPD : la revente et la cession de données ne sont autorisées que si les personnes ont consciemment donné leur accord pour le stockage et la revente à un partenaire connu. »c’est faux pour le BtoB car on a pas besoin de demander le consentement tant que c’est dans les mentions légales.
« Le RGPD (encore ) : Après 3 ans sans aucune interaction, la data doit impérativement être supprimée de tous stockages, logiciels ou autre fichier… et ne pourra être remise en base »pareil, en BtoB la durée de conservation peut être régénérée tous les 3 ans car pas besoin de consentement
Le post est très bien mais manque de précisions sur l’aspect BtoB ou BtoC qui n’ont pas du tout les mêmes règles. Mais je suppose que c’est calculé.
La différence, ce n’est pas entre B2B et B2C, mais entre personnes physiques (tous les Monsieurs / Madames) et personnes morales (sociétés, associations…).
Dès lors que tu collectes des données relatives à une personne physique, que ce soient des données privées ou relatives à sa profession, tu DOIS légalement lui demander son consentement, en particulier si tu comptes utiliser ces données pour la profiler, la démarcher, revendre ces infos à des tiers, etc.
Le fait que ces informations soient trouvables dans les mentions légales d’un site internet n’en fait pas moins des données personnelles, pour lesquelles le RGPD s’applique.
Juste pour info je travaille dans une société de mise en conformité RGPD et ma réponse a été rédigée avec nos juristes en interne. Je te renvoi vers cet article de la CNIL qui appuie mes propos : La prospection commerciale par courrier électronique | CNIL
Donc non, en BtoB tu n’as pas de consentement à avoir, il faut simplement avertir (par le biais de mentions légales ou autre) mais merci de ta réponse quand même !
Si tu as besoin d’accompagnement pour ta mise en conformité ou que tu as d’autres questions n’hésites pas
merci @Popek, je connais bien les notes de la CNIL et cela fait aussi bien 20 ans que je travaille sur des sujets Data B2B et B2C.
Je t’invite à relire la fiche de la CNIL où tu verras que la notion d’information préalable des personnes sur la finalité de la collecte est explicitement mentionnée, tu ne peux pas t’en sortir jusqu’en planquant cela dans les mentions légales
La prospection vers les professionnels peut être fondée sur l’intérêt légitime de l’organisme.
La personne doit,au moment de la collecte de son adresse de messagerie :
être informée que son adresse électronique sera utilisée à des fins de prospection par voie électronique ;
être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
Lorsque les données sont déjà en possession de la société ou acquises auprès de tiers, il faut s’assurer que la personne concernée a été informée du traitement et est en mesure de s’y opposer.
Par ailleurs, il y a un projet de guide en cours de rédaction par la CNIL, qui donne de la visibilité sur les guidelines qu’ils prévoient sur des sujets bien aimés des Growth, dont la réutilisation des données publiques, le scraping des infos sur les sites web et réseaux, etc
Je suis pas francais mais votre pays est d’un compliqué pour tout, c’est une horreur, heureusement je vis pas en Europe mais putain quant je vois le code du travail en France c’est 3000 pages en Suisse 50 et pour tout c’est comme ca, comment faire de la paperasse inutile qui fait perdre du temps à tout le monde et qui est tout aussi inutile au final. Votre pays devient invivable dans tout en fait, je comprend pourquoi y’a de plus en plus de gens qui partent.
En me renseignant sur les obligations RGPD, la CNIL et les sanctions appliquées, je me suis dit que je pourrais faire partager ça à la communauté. Voici une synthèse : 
Budget CNIL :
Évolution des effectifs CNIL :
Sanctions :
Observations :
